התרגלנו ל-GDPR? הנה בא חוק חדש

חוק פרטיות חדש בקליפורניה יאלץ לא מעט חברות להתאים את מדיניותן

פרטיות ברשת, מידע מהאינטרנט / שאטרסטוק
פרטיות ברשת, מידע מהאינטרנט / שאטרסטוק

לפני כחודשיים, ב-25 במאי 2018, נכנסה לתוקף רגולציה כלל-אירופאית חדשה בנושא הגנת מידע אישי, שמטרתה לחזק את ההגנה בקשר למידע אישי של נושאי מידע המצויים באיחוד האירופי ומידע אישי הנאסף על ידי חברות אירופאיות, ה-General Data Protection Regulation.

כעת, לאחר שחברות רבות התאימו את פעילותן לדרישות הקבועות ב-GDPR, בפני חברות המעבדות גם מידע אישי אודות תושבי קליפורניה עומדת משוכה חדשה - הכנה לקראת כניסתו לתוקף של חוק פרטיות חדש מקיף ונרחב באופיו - The California Consumer Privacy Act, אשר מצריך היערכות נוספת.

החוק בנוסחו כיום (אשר אושר לאחרונה על ידי המחוקק הקליפורני ואשר עשוי לעבור ריביזיות שונות עד כניסתו לתוקף בתחילת שנת 2020) כולל דרישות פרטיות חדשות אשר יחולו על עסקים שפועלים בקליפורניה ואוספים מידע אישי אודות צרכנים תושבי קליפורניה. בנוסף, על העסקים לעמוד באחת החלופות הקבועות בחוק, למשל ככל שלעסק הכנסות שנתיות בסכום של יותר מ-25 מיליון דולר או ככל שלפחות 50% מההכנסות השנתיות של העסק נובעות ממכירה של מידע אישי אודות הצרכנים.

בדומה ל-GDPR, החוק מעניק לצרכנים תושבי קליפורניה "שליטה" על המידע שנאסף אודותיהם על-ידי אספקת סל זכויות נרחב בקשר לאיסוף ושימוש מידע אישי אודותיהם על-ידי עסקים. כך למשל, מתן הזכות לדרוש מעסקים שקיפות ביחס למידע האישי הנאסף אודותיהם על-ידי העסק, המקורות מהם נאסף המידע, מטרות השימוש במידע זה והצדדים השלישיים אליהם המידע מועבר.

כמו כן, ניתנת לנושאי המידע הזכות לעיין במידע שנאסף אודותיהם ולדרוש מעסקים למחוק את המידע האישי שנאסף אודותיהם (בהתאם לתנאים הקבועים בחוק). יתרה מכך, לצרכנים ניתנה אף הזכות לסרב (Opt-out) למכירת מידע אודותיהם לצדדים שלישיים, ובנסיבות מסוימות החוק מטיל חובה על עסקים לקבל הסכמה (Opt-in) למכירת מידע לצדדים שלישיים.

חברות הטכנולוגיה האמריקאיות, ששיעור ניכר מהן פועל בקליפורניה, יידרשו להתאים את עצמן לחקיקה החדשה. אולם, גם חברות שאינן בעלות נוכחות בקליפורניה עשויות להיכנס לגדר החוק, בשל ההגדרה הרחבה של המונח עסק "הפועל" בקליפורניה. כך, יתכן שחברה ישראלית, שהדירה רגליה מפעילות באירופה על מנת להימנע מהצורך לעמוד בדרישות ה-GDPR, עשויה להידרש לעמוד בחקיקה הקליפורנית החדשה, ככל שהיא מציעה שירותים או מוצרים לתושבי קליפורניה, לרבות באמצעות האינטרנט.

בתוך כך, חברה ישראלית אשר תהא כפופה לחוק החדש תצטרך לבחון האם פרקטיקות איסוף המידע האישי בהן היא נוקטת עומדות בדרישות החוק החדש וככל הנדרש החברה תצטרך לבצע התאמות נדרשות למסמכי מדיניות הפרטיות שלה, כך שהמדיניות תכלול שקיפות ביחס למידע הנאסף מהמשתמש ולגבי אופן השימוש של החברה במידע זה. כמו כן, החברה תצטרך ליישם אמצעים טכנולוגיים על מנת לאפשר למשתמשים לממש את זכויותיהם תחת החוק, למשל בעניין הזכות לסרב למכירת המידע לצדדים שלישיים והזכות למחוק את המידע.

אי עמידה בדרישות החוק עשויה לחשוף את המפר לקנסות הקבועים בחוק וכן לתביעות כספיות אישיות. אמנם הסכומים הקבועים בתקנות נמוכים לעומת סכומי הקנסות המוטלים מכוח ה-GDPR, אולם עסק אשר ספג פריצת אבטחה עשוי להיות חשוף לתביעות בסכומים גבוהים, ככל שמספר ההפרות שביצע גבוה, מספר הצרכנים שנפגעו גבוה וכו'. החוק אמנם צפוי להיכנס לתוקף רק בתחילת 2020, אולם מומלץ לחברות האוספות מידע אישי על תושבי קליפורניה להתחיל להיערך לכניסתו לתוקף של החוק כבר עתה.

■ טבת היא מנהלת מחלקת קניין רוחני ופרטיות במשרד GKH, ו-ויזנפלד היא עורכת דין במחלקה. 

רוצה להשאר מעודכן/ת בנושא הסיפורים הגדולים של השבוע?
✓ הרישום בוצע בהצלחה!
צרו איתנו קשר *5988